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PROCEPE ET DISPOSIT1F POUR- ACCOftflPLlR UNE OPERATION 

CRYPTOGRAPHIQUE 

La presents invention concerne un precede pour accornplir una 
operation cryptographique dans un dispositif dans le cadre d'une application de 
security En particulier, ('invention se rapporte aux precedes cryptographiques 
de protection contra la fraude d'une puce electro nique dans des transactions 
entre une application extern e et la puce. 

L'invention trouve une application tres avantageuse en ce qu'elle 
permet de proteger contra la fraude des puces a circuit integre a logique 
cablee, notamment les puces qui equipent les cartes prepayees utilisees dans 
des transactions diverses telles que Petablissernent de communications 
telephoniques, le paiement d'objets dans un distributeur automatique, la 
location d'emplacements de stationnement a partir d'un parcmetre, le paiement 
d'un service comma un transport public ou comme la mise a disposition 
dMnf restructures (peage, musee, bibiiotheque,...), ou les puces qui equipent les 
etiquettes radiofrequences ("RFID tags") utilisees dans le tra$age de palettes, 
de produits de grande consommation, de billets de banque, etc... 

Actuellement, les puces a logique cablee sont susceptibles de subir 
differents types de fraude. Un premier type de fraude consiste a dupliquer sans 
autorisation la carte, le terme clonage etant souvent utilise pour caracteriser 
cette operation, Un deuxieme type de fraude consiste a modifier les donnees 
attachees a une carte, en particulier le montant du credit inscrit dans la carte. 
Pour lutter contra ces fraudes, il est fait appei a la cryptographie, d'une part 
pour assurer I'authentification de la carte au moyen d'une authentification et/ou 
pour assurer I'authentification des donnees au moyen d'une signature 
numerique et, d'autre part pour assurer le cas echeant la confidentialite des 
donnees au moyen d'un chiffrement. La cryptographie met en jeu deux entites, 
qui sont dans le cas de I'authentification un verificateur et un objet a verifier, et 
alle peut etre soit symetrique, soit asymetrique. Lorsqu'elle est symetrique (ou 
"a cle secrete", les deux termes etant synonymes), les deux entites partagent 
exactement la merne information, en particulier une cle secrete. Lorsqu'elle est 
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asymetrique (ou "a. cle publique", les deux termes etant synonymes) une des 
deux entiles possedent une paire de cles dont Tune est secrete et i'autre est 
publique ; ii n'y a pas de cle secrete partagee. Dans de nombreux systemes, 
notamment lorsque la puce est de type "a logique cables", seuie la 

5 cryptographie symetrique est mise en oeuvre avec des cartes prepayees, car la 
cryptographie asymetrique reste lente et couteuse. Les premiers mecanismes 
d'authentification developpes en cryptographie symetrique consistent a calculer 
une fois pour toutes une valeur d'authentification, differente pour chaque carte, 
a la stocker dans la rnemoire de la carte, a la lire a chaque transaction et a ia 

10 verifier en interrogeant une application du reseau supportant la transaction ou 
les valeurs d'authentification deja attributes sont soit stockees soit recalculees. 
Ces mecanismes assurent une protection insuffisante parce que la valeur 
d'authentification peut etre espionnee, reproduite et rejouee frauduleusement 
etant donne qu'elle est toujours ia mime pour une carte donnee, permettant 

15 ainsi de realiser un clone de cette carte. Pour lutter centre les clones, les 
mecanismes d'authentification passifs de cartes sont rempiaces par des 
mecanismes d'authentification actifs qui peuvent en outre assurer i'in teg rite des 
donnees. 

Le principe general des mecanismes d'authentification actifs 
20 symetriques est !e suivant : iors d'une authentication, la puce electronique et 
rapplication calcuient une valeur d'authentification qui est le resultat d'une 
fonction appliquee a une liste d'arguments determinee a chaque 
authentication. La liste d'arguments peut comprendre un alea, e'est-a-dire une 
donnee determinee par ('application a chaque authentification, une donnee 
25 contenue dans la puce electronique et une cle secrete connue de la puce 
electronique et de rapplication. Lorsque la valeur d'authentification calculee par 
la puce electronique est identique a la valeur d'authentification calculee par 
rapplication, la puce electronique est jugee authentique et la transaction entre 
la puce electronique et rapplication est autorisee. 

so De tels mecanismes d'authentification sont largement connus ma is la 

plupart exigent des capacites de calcul au moins egales a celles dont dispose 
un microprocesseur Ces mecanismes conviennent done aux cartes a 
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microprocesseur, mais rarement aux puces a logique cables, lesquelles 
disposent de moyens de calcul beaucoup plus rudimentaires. 

Un premier pas a ete effectue lorsque des mecanismes actifs 
d'authentification symetrlques ont pu etre integres dans des puces a logique 
cablee. Par exemple, FR-A-2 826 531 decrit un procede permettant de 
specifier de tels mecanismes. On notera que la valeur d'authentification 
produite par ces mecanismes peut aussi etre interpretee comme une sequence 
de bits pseudo-aleatoires et, en faisant varier au moins 1'un des parametres 
d'entree, le procede de calcul de la valeur d'authentification devient alors un 
procede de generation de bits pseudo-aleatoires. 

Dependant, les mecanismes a cle secrete imposent que I'unite de 
verification, en charge de I'authentification de la puce, par exemple presente 
dans un telephone public, un terminal de paiement electronique, ou encore un 
portillon de transport en commun, connaisse la cle secrete detenue par ladite 
puce. II en decoule un inconvenient majeur, a savoir que si Ton souhaite que 
cette unite puisse authentifier n'importe quelle puce mise en relation avec 
I'application, soit elle doit stacker les cles secretes de toutes les puces, soit elle 
doit stacker une cle de base, appelee aussi cle-mere ou cle-maitre, permettant 
de retrouver la cle secrete de n'importe quelle puce. Dans les deux cas, 
chacune de ces unites stocke suffisamment d'information pour pouvoir 
retrouver les cles secretes de toutes les puces emises, et stocke done 
suffisamment d'information pour pouvoir fabriquer des clones de n'importe 
laquelle d'entre elles. II s'ensuit qu'une intrusion reussie centre n'importe 
laquelle des unites de verification aneantirait la securite de ('application dans 
son ensemble. 

li exists done un besoin imperieux de pouvoir integrer un mecanisme 
actif d'authentification a cle publique dans une puce a logique cablee, 
notamment dans les applications deployant un grand nombre de puces, ce qui 
est generalement le cas des applications utilisant des puces a logique cablees, 
car elles sont tres bon marche. 

II n'existe pas de tels mecanismes car les schemas a cles publiques 
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requierent generaiernent de nombreuses operations portant sur de grands 
nombres, ce qui les rend a priori inadaptes a une integration dans des puces a 
(ogique cablee, dans lesquelles la surface de silicium est extremement reduite, 
et dont la iogique de calcul se reduit au cablage d'operations extremement 
5 elementaires, De surcroit, ces operations elementaires sont effectuees 
generaiernent en serie, en ce sens que les operandes sont introduits 
sequenttellement bit a bit, et que cette introduction modifie progressivernent 
I'etat d'un registre interne dont la valeur finale sert de base au calcul du resultat 
de la fonction. 

10 Par exemple, il est connu de calculer une valeur d'authentification y en 

effectuant ('operation y = r + s.c (ou y = r - s.c), ou r designe un alea, s une cle 
secrete appartenant a une paire de cles asymetrique (s, p), et c est une valeur 
dite "challenge" choisie par ('application, qui ne peut pas depasser un certain 
seuii, la valeur de r devant toujours rester superieure au nombre qui lui est 

15 ajoute (ou soustrait). Ceci implique Texecution d'au moins une multiplication 
entre entiers a priori quelconques s, c. Or une telle multiplication est une 
operation relativement complexe, hors de portee de la plupart des puces a 
Iogique cablee. 

Un but de la presente invention est de definir un procede de calcul 
20 d'une valeur cryptographique, par exemple d'authentification, qui soit tef que la 
puce n f ait pas a effectuer explicitement une operation de multiplication et que 
le niveau de securite obtenu soit relativement important, par exemple de Tordre 
de 32 bits, ce qui est un niveau de securite extremement repandu, notamment 
dans la protection de transactions financieres. 

25 L'invention propose un procede pour accomplir une operation 

cryptographique dans un dispositif sous le controle d'une application de 
securite, dans lequel on produit une valeur cryptographique dans le dispositif, 
par un calcul comprenant au moins une multiplication entre deux facteurs 
incluant une partie au moins d'une cfe secrete associee au dispositif. Selon 

30 ('invention, un premier des deux facteurs de la multiplication a un nombre de 
bits determine L en representation binaire, et on contraint le second des deux 
facteurs de la multiplication pour qu'il comprenne, en representation binaire, 
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plusieurs bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une 
sequence d'au rnoins L-1 bits a 0. La multiplication n'a alors pas besoin d'etre 
executee selon un algorithme complexe. II suffit de la realiser en assembiant 
des versions binaires du premier facteur respectivement decalees 
conformement aux positions des bits a 1 du second facteur. 

Selon d'autres caracteristiques interessantes du procede de I'invention: 

- la cle secrete fait partie d'une paire de cles cryptographiques 
asymetriques associee au dispositif; 

- le dispositif comprend une puce incluant une logique cablee pour 
produire la valeur cryptographique; 

- le calcul de la valeur cryptographique comprend en outre une addition ou 
une soustraction entre un nombre pseudo-aleatoire et le resultat de la 
multiplication; 

- les premier et second facteurs et le nombre pseudo-aleatoire sont 
dimensionnes pour que le nombre pseudo-aleatoire soit superieur au 
resultat de la multiplication, le nombre de bits a 1 du second facteur 
pouvant notamment etre choisi au plus egal au plus grand entier inferieur 
ou egal a s^L, ou s 1 est un seuil predefini inferieur au nombre de bits du 
nombre pseudo-aleatoire en representation binaire; 

- les deux facteurs de la multiplication incluent, en plus de ladite partie de 
ta cle secrete, un nombre fourni au dispositif par ('application de securite, 
laquelle est executee en dehors du dispositif; 

- ladite partie de la cle secrete est soit le premier soit le second facteur de 
la multiplication; 

- lorsque ladite partie de la cle secrete est le premier facteur de la 
multiplication, lesdites versions binaires sont par exempie disposees 
dans des intervalles respectifs de meme faille en bits, ladite faille 
correspondant a la faille totale d'un espace utilisable divisee par le 
nombre de bits a 1 du second facteur de la multiplication, chaque version 
binaire etant placee dans son intervalle respectif en fonction d'un 
decalage defini par I'application de securite; 
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- lorsque la cle secrete est ie second facteur de la multiplication, elle peut 
etre stockee dans un support de memoire du dispositif en codant des 
nombres de bits separani respectivement des bornes inferieures 
d'intervalles de (S-i )/(n-1 ) bits et des bornes inferieures de blocs de bits 
alloues au premier facteur de la multiplication et disposes chacun dans 
les inten/alles associes, 3 etant le nombre de bits de la cle secrete et n le 
nombre de bits a 1 de la cle secrete; 

- en variante, on peut stacker cette cle secrete dans le support de memoire 
du dispositif en codant des nombres de bits, chacun represented du 
nombre de bits separant deux blocs de bits successifs alloues au premier 
facteur de la multiplication; 

- lorsque ladite partie de la cle secrete est le second facteur de la 
multiplication, elle est stockee dans un support de memoire du dispositif 
en codant les positions de ses bits a 1 ; 

- lorsque ladite partie de la cle secrete est le second facteur de la 
multiplication, le premier facteur peut etre un nombre pseudo-aleatoire 
genere dans le dispositif, la valeur cryptographique etant produite en tant 
que signature electronique; 

- dans une autre application, la valeur cryptographique est produite pour 
authentifier le dispositif dans une transaction avec ['application de 
securite executee en dehors du dispositif. 

L'invention propose egalement un dispositif a fonction cryptographique, 
comprenant des moyens d'interface avec une application de securite et des 
moyens de calcul pour produire une valeur cryptographique, les moyens de 
calcu! comprenant des moyens de multiplication entre deux facteurs incluant 
une partie au moins d'une cle secrete associee au dispositif. Selon l'invention, 
un premier des deux facteurs de la multiplication a un nombre de bits 
determine L en representation binaire, et le second des deux facteurs de la 
multiplication est contraint pour comprendre, en representation binaire, 
plusieurs bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une 
sequence d'au moins L-1 bits a 0. Les moyens de multiplication comprennent 
des moyens pour assembler des versions binaires du premier facteur 
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respectivement decalees conformement aux positions des bits a 1 du second 
facteur. 

Un avantage de la presents invention est d'obtenir un bon niveau de 
securite des dispositifs utilisant la cryptographie pour se proteger contra la 
frauds, particulierement lors des transactions entre une puce eiectronique a 
logique cables et une application de securite externe a la puce eiectronique. 

Un autre avantage de ('invention est sa simplicity de mise en oeuvre 
puisqu'etle ne necessite pas de moyens de multiplication, couteux et difficiles a 
mettre en oeuvre dans une puce eiectronique du fait de sa taille reduite, les 
moyens de multiplication etant remplaces par des moyens d'addition pour 
sommer les decales de la cle secrete ou du challenge. En effet, la multiplication 
d'un entier par une puissance de deux revient a decaler vers la gauche les bits 
de la decomposition binaire. 

D'autres particularites et avantages de la presents invention 
apparaTtront dans la description ci-apres d'exemples de realisation non 
limitatifs, en reference aux dessins annexes, dans lesquels : 

- la figure 1 illustre un organ igramme decrivant un mode de realisation 
d'une authentification cryptographique ; 

- la figure 2 illustre un mode de realisation du precede de I'invention; 

- la figure 3 illustre une premiere variante de realisation du procede de 
['invention ; 

- la figure 4 illustre une seconds variante de realisation du procede de 
I'invention; 

- la figure 5 illustre une premiere variante de stockage d'une cle secrete 
selon ('invention ; 

- la figure 6 illustre une seconds variante de stockage d'une cle secrete 
selon I'invention ; 

- la figure 7 illustre un exemple de dispositif a fonction cryptographique 
mettant en oeuvre le premier mode de realisation de I'invention; et 
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- la figure 8 iilustre un example d' utilisation d'un dispositif a fonction 
cryptographique salon 1'invention. 

La figure 1 iilustre un organigramme d'un precede pour executer une 
operation cryptographique dans un dispositif, particulierement une puce 
5 electronique a logique cab lee, sous le cent role d'une application de securite 
executee en dehors du dispositif. 

Notamment, un tei procede est applique dans des transactions entre la 
puce electronique et ['application. Mais il peut aussi bien etre utilise pour le 
calcul d'une valeur cryptographique constituant une signature nurnerique. 

10 Dans une premiere etape 1, le procede consiste a generer dans la 

puce electronique un nombre pseudo-aleatoire r dit alea au moyen d'un 
generateur pseudo-aleatoire inclus dans la puce electronique. L'alea r est 
propre a une transaction. 

Dans une deuxieme etape 2, le procede consiste a transmettre de la 
15 puce electronique a I'application de securite un parametre x relie a Palea r sur 
la base d'une fonction f telle que x = f(r), f etant associee a une cle publique 
connue de la puce electronique et de I'application de securite. Des parametres 
x peuvent etre calcules d'avance et stockes dans une memoire de la puce, 
chaque parametre x etant associe respectivement a un nombre pseudo- 
20 aleatoire r. 

Dans une troisieme etape 3, le procede consiste a calculer dans la 
puce electronique une valeur cryptographique y, conformement au procede de 
I'invention decrit plus loin, par des moyens de multiplication ayant pour 
parametres d'entree au moins Palea r propre a la transaction et une cle secrete 
25 appartenant a une paire de cies asymetriques (s, p). La valeur cryptographique 
constitue tout ou partie d'une valeur d'authentification V. 

Dans une quatrieme etape 4, le procede consiste a transmettre la 
valeur d'authentification V a ('application. 

Dans une cinquieme etape 5, le procede consiste a verifier par 
30 l'application de securite la valeur d'authentification V au moyen d'une fonction 
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de verification dont les parametres d'entree se composent de parametres 
publics, contenant au moins la cle publique p. Si la valeur d'authentification est 
validee par ('application de securite, les transactions sont autorisees. 

La presente invention a pour but de calculer une valeur 
cryptographique y en effectuant une operation du type y = r + f 1 *f 2 (ou de facon 
equivalente y = r-f 1 *f 2 ) ou r designe un alea calcule par un generateur 
pseudo-aleatoire inclus dans la puce electronique et (f v f 2 ) un couple de 
facteurs incluant la cle secrete s et un nombre c dit challenge foumi par 
['application de securite. Les representations binaires des facteurs f v f 2 sont 
telles que le facteur f 1 a une taille en bits notee L et que les bits a 1 successifs 
du facteur f 2 ont toujours entre eux une sequence d'au moins L-1 bits a 0. 

Ainsi, la multiplication des facteurs f,, U revient a sommer un nombre n 
de versions binaires b[1], b[2], b[n] du premier facteur f 1 respectivement 
decalees conformement aux positions des bits a 1 du second facteur f 2 . Le 
nombre n est dependant du nombre de bits a 1 du second facteur f 2 . Compte 

n 

tenu de ces decalages, la somme ]Tb[h] est realisee tres simplement en 

h=l 

assemblant les b[h] dans un nombre binaire representant le resultat de la 
multiplication. 

Dans la description qui suit, on decrit un premier mode de realisation 
du precede de invention ou le facteur f 1 est la cle secrete s de L bits et le 
second facteur f 2 est le challenge pseudo-aleatoire c foumi par I'application de 
securite. Ainsi la valeur cryptographique y est determinee en effectuant 
I'operation: 

y = r + s*(2'E 1 ] + ... + 2'[ n l) 

ou i[1] i[n] designent n valeurs entieres choisies par Tapplication avec deux 

contraintes : 
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- les valours i[n] doivent toutes raster inferieures ou egales a un 

seuil note s,| de sorte que ia valeur r reste toujours superieure au nombre 

qui lui est ajoute (ou soustrait), ledit seuil definissant alors un espace 
utilisable sur les bits de r. 

5 - la seconde conirainte consiste a imposer que les differentes valeurs 

i[n] soient distantes les unes des autres par au moins la taille en 
bits de la cle secrete. 

Ainsi, la cie secrete s etant composee de L bits, et en supposant les 
differents entiers i[1], .... i[n] ranges par ordre croissant, ('application de 
10 securite fournit ces valeurs i[n] teiles que i[1]+L < i[2], i[2]+L < i[3], 

i[n-1J+L < i[n] et i[n]<s 1 . 

Ainsi, le nombre n de bits a 1 du second facteur est choisi au plus egal 
au plus grand entier inferieur ou egal a s-j/L 

Les deux contraintes imposent a la valeur de n un maximum note u 3 qui 
15 ne sera generalement pas tres eleve, par exemple u = 5 ou 6. 
Preferentiellement, la valeur de n sera prise egale au maximum u. 

La figure 2 iltustre un exemple d'utilisation du precede de ^invention 
avec n = 5. Le diagramme Bl represente Palea r avec Pespace utilisable EU de 
taille L+s 1 bits. Le diagramme B2 represente le resultat de la multiplication 

20 s*c = s*(2 } f 1 J + ... + 2 | M) l ajoute (ou soustrait) a r. La cle secrete s est decalee 
conformement aux positions des bits a 1 du challenge a On obtient ainsi les 
versions binaires bl a b5 respectivement decalees de i[1], i[2], i[3], i[4] et i[5] 
bits. 

Un avantage de la presente invention repose sur le gain de securite 
25 obtenu avec un tel procede, car deviner les differentes valeurs des entiers i[h], 
et eventuellernent le nombre n lui-meme si) n'est pas fixe par ('application de 
securite, est tres difficile. 

Un autre avantage est que le gain de securite se fait sans pour autant 
compjexifier significativement le calcul de la valeur cryptographique y puisque 
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ia multiplication entre la cle secrete et le challenge revient a assembler des 
decales (ou versions binaires) conformement a invention, !e calcul etant 
effectue en serie. 

Selon une premiere variante du precede, on impose que les n decales 
5 de la cle secrete soient tous places dans des intervalles de meme taille. Cette 
taille est souhaitee maximale, ce qui signifie quelle est egale a la taille totale 
de I'espace utilisable EU divisee par n ou, si cette valeur n'est pas un entier, le 
plus grand entier qui lui soit inferieur. On notera j[1], j[2], j[n] les ecarts, 
choisis par ^application, des blocs de bits correspondant aux decales de la cle 
10 secrete avec la borne inferieure de rintervalie dans lequel ces blocs associes 
sont situes. 

Plus formellement, soit k la taille totale de I'espace utilisable (egale a 
s-j+L), n est alors le nombre de fois ou Ton veut faire apparaTtre la cle secrete 

de fagon disjointe parmi les k bits utilisables. On suppose que k est divisible 
15 par n (dans le cas contraire, on augmente legerement la valeur de k pour qu'il 
en soit ainsi). 

L'espace total utilisable peut se decomposer en n intervalles de meme 
taille contenant chacun k/n positions de la fagon suivante : 

[0, k/n-1] U [k/n, 2k/n-1] U ... U [(n-1)k/n, k-1] 

20 Avec rutilisation de la presente variante, on peut demontrer qu'il y a au 

total ((k/n)-L+1) n valeurs differentes que Ton peut ajouter a Talea r. 

En effet, chaque intervalle contient k/n positions dont L utilisees pour 
ecrire le decale de la cle secrete. II reste done k/n-L positions libres dans 
chaque intervalle a repartir autour du bloc de bits utilises par le decale. Ainsi, 
25 pour tout h tel que1<h<n, j[h] est une valeur comprise entre 0 et (k/n)-L et 
correspond au nombre de bits entre la (h-1)(k/n)-ieme position et la position du 
premier bit du decale. II y a done (k/n)-L+1 valeurs possibles pour chaque j[h]. 
Finalement, le nombre de n-uplets (j[U j[2], j[n]) differents est ((k/n)-L+1) n 

En d'autres termes, la valeur cryptographique y est calculee en 
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effectuant reparation : 

y = r+ (2)Ws + 2 k/n+ it 2 ls + 2 2k/n+ i£ 3 ls + ... + 2( n ~Wn+jM s ) 

ou les n valeurs j[2], j[n] sont choisies par ['application de securite de 
fayon telle que j[h] e [0, (k/n)-L] pour tout h. 

5 Cheque version binaire b[h] est done decalee de j[h] bits par rapport a 

la borne inferieure de rintervalle. 

Sur fa figure 3, on a note l[h] = [(h~1)k/n, hk/n-1] le h-ieme inten/alle 
dans un cas particulier de la premiere variante de realisation ou n = 5. Le 
diagramme B3 represente I'alea r avec I'espace utiiisable EU, tandis que le 
10 diagramme B4 represente la valeur ajoutee (ou soustraite). On obtient ainsi 
des versions binaires b[h] de la cle secrete s, a savoir b[1], b[2], b[3], b[4] et 
b[5], respectivement disposees dans les intervalles l[h], Chaque version binaire 
b[h] est decalee de j[h] bits par rapport a la borne inferieure de rintervalle l[h] 
associe. 

15 Selon une seconde variante du precede de ('invention, les n valeurs 

d'ecarts j[2], .... j[n] sont choisies par I'application de securite de fa$on a 
representer les ecarts entre deux blocs consecutifs correspondant a deux 
decales de la cle secrete. Comme dans la premiere variante 1 les n valeurs 
peuvent el re prises dans rintervalle [0, (k/n)-LJ. 

20 La valeur cryptographique est ainsi calculee en effectuant ('operation : 

y = r + (2J[ 1 3.s + 2 L+ J[ 1 l+it2].s + 22L+J[1MP]+j[3] <s + _ + 2 (n-i)L+j[ll+j[2]+...+j[n] -S ) - 

La figure 4 illustre un exemple d'utilisation de la seconde variante du 
procede de ('invention avec n=5. Le diagramme B5 represente Falea r avec 
i'espace utiiisable EU, tandis que le diagramme B6 represente la valeur ajoutee 
25 (ou soustraite). On obtient ainsi cinq versions binaires b[1], b[2], b[3], b[4] et 
b[5], de la cle secrete s, decalees entre elles de j[2], j[3], j[4] et j[5] bits, 
respectivement. 

Dans certains cas, on pourra relacher quelque peu la contrainte sur fe 
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nombre de bits a 0 devant separer deux bits a 1 consecutifs du challenge c, au 
prix d'une augmentation moderee de la complexity de la logique cablee de la 
puce, sans sortir du cadre de la presente invention. Considerons par exemple 
le cas ou la cle secrete s = f, du dispositif est un nombre de L bits avec n = 6. 
Si on impose que deux bits a 1 consecutifs du challenge 
c = 2'LU + 2't 2 l + 2'f 3 l + 2'W + 2'^ + soient toujours separes par une 
sequence d'au moins L/2 bits a 0 (c'est-a-dire que i[1]+L/2 < i[2], .... 
i[5]+L<i[6]<s 1 , il est aise de decomposer ce challenge en deux termes: 
c = f + f , ou f 0 = 2't 1 l + 2't 3 l + 2't 5 l et f 2 = 2't 2 l + 2't 4 l + 2'I 6 J. Chacun de ces 

2 2 1 2 

deux termes f 2 , f 2 verifie la condition requise pour etre le second facteur de la 
multiplication dans le precede seion ('invention: i[1]+L < i[3] < i[5]-L pour f 2 et 
i[2]+L < i[4] < i[6]-L pour f 2 . L'operation cryptographique a effectuer s'ecrit 
y = r + s.f 2 + s.f 2 , chacune des deux multiplications s.f 2 , s.f 2 pouvant etre 
realisee par assemblage de versions decalees de s conformement a 
I'invention. La logique cablee doit alors comporter deux circuits additionneurs 
(ou soustracteurs). 

Dans un autre mode de realisation de I'invention, les roles de s et de c 
dans la multiplication sont inverses: le premier facteur f 1 est le nombre pseudo- 
ale ato ire c, tandis que le second facteur f 2 est la cle secrete s. La valeur 
cryptographique y est done calculee en effectuant l'operation: 

y= r + c*(2 i I 1 l+ ... + 2'M) 

ou r designe un alea, c le challenge choisi par I'application de securite, et les n 
valeurs .... i[n] correspondent aux positions des bits non nuls de la cle 
secrete s associee au dispositif, ou d'une partie de cette cle secrete. En 
d'autres termes, la cle secrete s est 2* 1 1 + 2^+ ... + 2'N. Les n valeurs 
i[n] doivent verifier les memes contraintes que celles presentees lors du 
premier mode de realisation. 

Le procede pour le calcul d'une telle valeur cryptographique est 
identique a celui precedemment presente dans le premier mode de realisation. 
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Toutefois, la cle secrete s = 2 j f 1 ^+ 2 ! ^+ ... + 2'M reste identique pour 
toutes ies authentications, comma Test une cle secrete classique. Deux cas 
peuveni se presenter pour l'utiIisation*de ce second mode de realisation : 

- la cle secrete est dediee a une application particuliere necessitant un 
niveau de securite L 0 constant. Dans ce cas, la construction de la cle 

secrete s se fait en utiiisant une cie secrete s avec des bits non nuls 
separes parau moins (L 0 -1) bits; ou 

- la cfe secrete est utilisee dans differentes applications necessitant des 
niveaux de securite differents. II faut alors considerer le niveau de 
securite le plus grand. En effet, dans le cas contraire, la construction 
d'une cle avec des bits non nuls separes par (L 0 -1) bits peut donner lieu 

a des challenges de taille L 1 > L 0 , de sorte que Ies decales du challenge 

ne seraient plus disjoints. D'ou la necessite d'avoir des bits non nuls de la 
cle secrete separes par au moins L~1 bits, ou L represente le niveau 
maximal de securite pouvant etre rencontre durant ['utilisation cle fa cle 
secrete s. 

Pour memoriser la cle secrete, une premiere solution consiste a la 
stacker dans sa totalite. Mais etant donne la taille de la cle secrete due au 
niveau de securite eleve, des contraintes physiques, particulierement la taille 
de la memo ire de la puce electronique, limitent la taille de stockage possible, 
notamment pour des raisons economiques. 

Une seconde solution consiste a tirer parti de la structure de la cle 

secrete du type 2'^ + 2 j f 2 l+ ... + 2% n \ en ne stockant que Ies positions des bits 
non nuls de la cle secrete. Cette seconde solution peut etre amelioree, afin de 
stacker encore moins de bits. Deux methodes sont possibles. 

Soit S la taille de la cle secrete ayant n bits non nuls en faisant 
Phypothese que S-1 soit divisible par n~1 . Un premier bit non nul est place a la 
position 3—1 pour obtenir un secret de la taille souhaitee. Ensuite, on decoupe 
Ies S-1 autres bits de la cle secrete en n-1 intervalles I [2], i[n— 1] de 
(S-1)/(n-1) bits. 
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Dans chacun des intervalles l[h], on place un bloc de bits alloue au 
bloc de bits representant le challenge de taille L Cheque intervalle contient 
done (S-1)/(n-1) - L bits non utilises qui se repartissent a gauche et a droite 
du bloc de bits alloue. Au maximum, (S-1)(n-1) - L bits peuvent etre places 
entre la borne inferieure de i'intervalle et le bloc alloue. 

Ainsi, au lieu de stocker la position i[h] des bits non nuls, on peut 
stocker le nombre de bits p[h] se trouvant entre la borne inferieure de chaque 
intervalle et ledit bloc de bits alloue se trouvant dans I'intervalle considere. 

La figure 5 illustre un exemple de stockage d'une cle secrete ayant 
cinq bits non nuls. On stocke ainsi les nombres de bits p[1], p[2], p[3], p[4] 
(dans I'exemple nul) et p[5]. 

La seconde methode consiste a stocker le nombre de bits se trouvant 
en t r e deux blocs consecutifs de bits alloues au bloc reiatif au challenge et le 
nombre de bits se trouvant a chaque extremite (avant ie premier bloc alloue et 
apres le dernier bloc alloue). 

La figure 6 illustre la presente methode dans le cas ou la cle secrete 
contient cinq bits non nuls. Ainsi les valeurs p[1], p[2], p[3], p[4], p[5] et p[6] 
sont stockees sur un support de memoire de la puce electronique. Get exemple 
n'est pas limitatif et des valeurs p[h] peuvent etre nulles. 

Dans le second mode de realisation de ['invention, il est aussi possible 
dans certains cas de relacher quelque peu la contrainte sur le nombre de bits a 
0 devant separer deux bits a 1 consecutifs de la cle s, au prix d'une 
augmentation moderee de la complexity de la logique cablee de la puce, sans 
sortir du cadre de la presente invention. 

Le precede de ['invention est utilisable pour calculer une valeur 
cryptographique pour proteger contre la fraude un dispositif, particulierement 
une puce electronique a logique cablee, sous le controle d ? une application de 
securite externe au dispositif, dans les transactions entres ces deux entites. 

Un tel procede est egalement utilisable pour calculer une valeur 
cryptographique com me constituant d'une signature numerique, Dans ce cas, 
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le n ombre c dit challenge n'est pas fourni par Pappiication de securite mais est 
calcule par la puce electronique d'apres un message a signer. 

La figure 7 iliustre un example de dispositif a fonction cryptographique 
mettant en ceuvre le premier mode de realisation de (Invention. 

5 Le dispositif 10, tel qu'une puce electronique, comprend : 

- un generateur de nombre pseudo-aleatoire 12 produisant un alea r 
propre a une transaction, Palea r etant lie a un parametre x assoGie ; 

- une premiere memoire 16 pour stacker la cie secrete s ; 

- une seconde memoire 14 pour stocker les parametres x ; 

10 - une interface 24 pour echanger des donnees avec Pappiication de 

securite externe, de fagon connue en soi ; 

- un circuit 22 de multiplication entre la cie secrete s et le challenge c ; et 

- un additionneur 26 (ou un soustracteur) pour combiner arithmetiquement 
le resultat de la multiplication et le nombre pseudo-aleatoire issu du 

15 generateur 12. 

Dans la realisation ifiustree par la figure 7, le circuit de multiplication 22 
decale le premier facteur f 1 s particulierement la cie secrete s, conformement 
aux exigences de ('invention, puis transmet sequentiellement bit par bit le 
resultat obtenu a Tadditionneur 26. 

20 Parallelement, ie generateur pseudo-aleatoire 12 transmet 

sequentiellement bit par bit Palea r a Tadditionneur 26„ 

L'additionneur 26 additionne ainsi sequentiellement bit par bit Palea r et 
le resultat fourni par le circuit de multiplication 22. 

Les differents moyens inclus dans !e dispositif 10 sont realises en 
25 logique cablee. 

Un tel dispositif 10 est monte, tel que decrit a la figure 8, sur un support 
28 au format d'une carte de credit par exemple. Le support 28 peut par 
exemple etre insere dans un lecteur 30 hebergeant Pappiication de securite 34. 
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Dans un exemple d'application, Pinsertion du support 28 dans ie lecteur 
30 active automatiquement ['application de securite 34 qui sollicite la puce 
electronique et lui trans met des donnees, particulierement le challenge c. La 
puce electronique s'authentifie en lui fournissant une valeur cryptographique y 
5 (ou V) calculee selon Ie procede de Pinvention. Comme decrit a la figure 1, un 
parametre x lie a r est transmis a Papplication de securite. 

A partir des valeurs x et V (ou y), Papplication de securite procede alors 
a la verification. 

Lorsque la valeur d'authentification est validee, Pauthentification de la 
10 puce est correcte et Papplication de securite en informe la puce electronique. 
Les transactions entre Papplication de securite et la puce electronique sont 
ainsi autorisees. 
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REVENDICATIONS 

1. Precede pour accomplir une operation cryptographique dans un 
dispositif (10) sous le con fro le d f une application de securite (34), dans iequel 
on produit une valeur cryptographique (y) dans le dispositif, par un calcul 

5 comprenant au mains une multiplication entre deux facteurs incluant une partie 
au moins d'une cle secrete (s) associee au dispositif, caracterise en ce que, un 
premier des deux facteurs de la multiplication ayant un nombre de bits 
determine L en representation binaire, on contraint le second des deux facteurs 
de la multiplication pour qu'il comprenne, en representation binaire, plusieurs 

10 bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une sequence d'au 
moins L-1 bits a 0, et en ce que la multiplication est realisee en assemblant 
des versions binaires du premier facteur respectivement decalees 
conformement aux positions des bits a 1 du second facteur. 

2. Precede selon la revendication 1, dans Iequel la cle secrete (s) fait 
15 partie d'une paire de cles cryptographiques asymetriques associee au dispositif 

(10). 

3. Procede selon la revendication 1 ou 2, dans Iequel le dispositif (10) 
comprend une puce incluant une logique cablee pour produire la valeur 
cryptographique. 

20 4, Procede selon Tune quelconque des revendications precedentes, 

dans Iequel le calcul de la valeur cryptographique comprend en outre une 
addition ou une soustraction entre un nombre pseudo-aleatoire (r) et le resultat 
de la multiplication. 

5. Procede selon la revendication 4, dans Iequel les premier et second 

25 facteurs (s, c) et le nombre pseudo-aleatoire (r) sont dimensionnes pour que le 
nombre pseudo-aleatoire soit superieur au resultat de la multiplication. 
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6. Precede selon la revendication 5, dans lequel le nornbre de bits a 1 

du second facte ur est choisi au plus egal au plus grand entier inferieur ou egal 
a s^L, ou s 1 est un seuil predefini inferieur au nornbre de bits du nombre 

pseudo-aleatoire (r) en representation binaire. 

5 7. Procede selon Tune quelconque des revendications precedentes, 

dans lequel les deux facteurs de la multiplication incluent, en plus de ladite 
partie de la cle secrete (s), un nornbre (c) foumi au dispositif par Implication 
de securite executee en dehors du dispositif. 

8. Procede selon Tune quelconque des revendications 1 a 6, dans 
10 lequel les deux facteurs. de la multiplication incluent, en plus de ladite cle 

secrete (s), un nornbre (c) fourni par le dispositif. 

9. Procede selon Tune quelconque des revendications precedentes, 
dans lequel ladite partie de la cle secrete (s) est ledit premier facteur de la 
multiplication. 

15 10. Procede selon la revendication 9, dans lequel lesdites versions 

binaires sont disposees dans des intervalles respectifs de me me taille en bits, 
ladite taille correspondant a la taille totale d'un espace utilisable divisee par le 
nombre de bits a 1 du second facteur de la multiplication, chaque version 
binaire etant placee dans son intervalle respectif en fonction d'un decalage 

20 conformement aux positions des bits a 1 du second facteur. 

11. Procede selon Tune quelconque des revendications 1 a 8, dans 
lequel ladite partie de la cle secrete (s) est le second facteur de la 
multiplication. 

12. Procede selon la revendication 11, dans lequel la cle secrete (s) est 
25 stockee dans un support de memoire du dispositif en codant les positions de 

ses bits a 1 . 
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13. Procede selon Tune quelconque des revendications 11 a 12, dans 
lequel la cle secrete (s) est stockee dans un support de memoire (16) du 
dispositif en codant des nombres de bits separant respectivement des bornes 
inferieures d'intervalles de (S-1)/(n-1) bits et des bornes inferieures de blocs 

5 de bits alloues au premier facteur (c) de la multiplication et disposes chacun 
dans les intervailes associes, S etant le nombre de bits de la cle secrete et n le 
nombre de bits a 1 de !a cle secrete. 

14. Procede selon Tune quelconque des revendications 11a 12, dans 
lequel la cle secrete (s) est stockee dans un support de memoire (16) du 

10 dispositif en codant des nombres de bits, chacun representatif du nombre de 
bits separant deux blocs de bits successifs alloues au premier facteur (c) de la 
multiplication. 

15. Procede selon Tune quelconque des revendications precedentes, 
dans lequel la valeur cryptographique (y) est produite pour authentifier le 

15 dispositif dans une transaction avec Tapplication de securite executee en 
dehors du dispositif. 

16. Precede selon Tune quelconque des revendications 1 a 14, dans 
lequel la valeur cryptographique (y) est produite en tant que signature 
electronique. 

20 17. Dispositif a fonction cryptographique, comprenant des moyens (24) 

d'interface avec une application de securite (34) et des moyens de calcul (12, 
22, 26) pour procluire une valeur cryptographique (y), les moyens de calcul 
comprenant des moyens de multiplication (22) entre deux facteurs incluant une 
partie au moins d'une cle secrete (s) associee au dispositif, caracterise en ce 

25 que, un premier des deux facteurs de la multiplication ayani un nombre de bits 
determine L en representation binaire, et le second des deux facteurs de la 
multiplication etant contraint pour comprendre, en representation binaire, 
plusieurs bits a 1 avec, entre chaque paire de bits a 1 consecutifs, une 
sequence d'au moins L— 1 bits a 0, les moyens de multiplication comprennent 
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des moyens pour assembler des versions binaires du premier facteur 
respectivement decalees conformement aux positions des bits a 1 du second 
facteur. 

18. Dispositif selon la revendication 17, comprenant en outre des 
moyens (12) de generation d'un nombre pseudo-aleatoire (r) ) ies moyens de 
caicul comprenant des moyens (26) pour ajouter ou soustraire ie resultat de la 
multiplication audit nombre pseudo-aleatoire. 

19. Dispositif selon la revendication 18, dans lequel Ies premier et 
second facteurs (s, c) et le nombre pseudo-aleatoire (r) sont dirnensionnes 
pour que le nombre pseudo-aleatoire soit superieur au resultat de la 
multiplication. 

20. Dispositif selon I'une quelconque des revendications 17 a 19, dans 
lequel Ies moyens (12,22,26) de caicul sont realises en logique cablee. 

21. Dispositif selon Tune quelconque des revendications 17 a 20, dans 
lequel ladite partie de la cle secrete (s) est le premier facteur de la 
multiplication. 

22. Dispositif selon Tune quelconque des revendications 17 a 20, dans 
lequel ladite partie de la cle secrete (s) est le second facteur de la 
multiplication. 

23. Dispositif selon la revendication 22, comprenant en outre une 
memoire (16) adaptee pour stacker des donnees de codage des positions des 
bits a 1 de la cle secrete (s). 



,r-, .... -„.,. ^.^ . 



— - 




ter depot 





f 




.A 



Modifiee ie 09/Q 





a 




(V 




( 



regue le 09/04/04 

1/4 




GENERATION DE r 


1 


r 


TRANSMISSION DE x 






CALCUL VALEUR CRYPTOGRA. 

Y 


i 




TRANSMISSION DE V 




f 


VERIFICATION DE V 




c 



a. 




ler depot 



Modifiee le 












% 

" ' " * * ... 


^ — - 1 










--< - Cil . 









5 3 







recue le 09/04/04 



2/4 




a 



alea r 




valeur ajoutee 
ou soustraite 




'//SSA //Ss 

i[5] 



i[4] 



////// 



i[3] 



i[2] 



(B1) 



(B2) 




alea r 



V777X7777777. 



'///A 




-7—r 




valeur ajoutee 
ou soustraite 



I[5] 



I[4] 

/S 



I[3] 



Mm. 



j[5] 



j[4] 



j[3i 



I [2] 



"Si 



////// 




^1] 



J[2] 



(B3) 



(B4) 






alea r 



F"7* 



Y/s/s 



r 

/ 



Tv 7 



/ / y y / y y y s / yy / y y , 

'^/yy/y e u / ///y / / 

// y/yy y/s c <l <l ////<>. 




(B5) 



valeur ajoutee 
ou soustraite 















////// 

MlYy 




yssss/ 








i 


i 




t 


i 






! 

_ j 



JI2 



(B6) 



ler depot 



Modifiee le 09/0 










recue le 09/04/04 

3/4 



0 * 



secret de 
taille S 



I[5] 




(B7) 





secret de 
taille S 





y y ' ' y - 

///// ' 

yvyyyv 




VS/S/s 




////// 
////// 
'/////, 
















PE5] 


1 


P[4] 






\ 






p[u 



(B8) 



P[6] 



P[3] 



P[2] 




recue le 09/04/04 



4/4 



16 



MEMOIRE "s" 



s 



CIRCUITS DE 
MULTIPLICATION 



— j-. 

i 

22 



12 



GENERATEUR 
PSEUDO-ALEATOIRE 



l 


14 

/ 


MEMQIRE "x" 




ADDITIONNEUR 
OU 

SOUSTRACTEUR 



24 



a: 



_ 



-59- X 



/ 

10 




30 





c ■ 




So 




( 




regue le 25/03/04 



|f|STITUT 

iMtousfiiiattc 



BUEWET EHM¥ENT!0I 

CEKTSF1CAJ PWIUTE 

Code de la propiiete intellectuelle - Livre VI 



H° 11235*03 



26 bis, rue de Saint Petersbourg - 75SO0 Paris Cedex 08 

Pour vous informer : INPI DIRECT 

&mBB8m 0 S25 33 85 8?) 

0.15 C TTC/nin 

Tclecopie : 33 (0)1 53 04 52 65 



1 



R( S) Page N° A./&.. 



Vos references pour ce dossier (facultatif) 



N° D'ENREGISTRERflEfiST NATIONAL 



{A fournir dans le cas ou ies demandeurs et les 
inventeurs ne sont pas ies memes personnes) 

Get imprime est a rem plir lisiblement a 1'encre noire 

m ■ 




DB 113 © Wy 210103 



blD/jLL/wiwI - a 



T1TRE DE (/INVENTION (200 caracteres ou espaces maximum) 



PR0CEDE ET DISPQSITiF POUR ACCOMPLIR UNE OPERATION CRYPTQGRAPH1QUE. 



LE(S) DEW! ANDEU R(S) : 



FRANCE TELECOM 



DESIGNE(NT) EM TANT QU'INVEMTEORtS) 



Nom 



Prenoms 



Adresse 



Rue 



Code postal et ville 



Societe d'appartenance (facultatif) 



■GIBA UII Ma rc 



L 



A t rue Viviane 



14000 CABl 



i • i i I 



Nom 



Prenoms 



Adresse 



Rue 



Code postal et ville 



- LC T RAMC David- 



4 4000 C&fcM— 



Societe d'appartenance (facultatif) 



Nom 



Prenoms 



Adresse 



Rue 



Code postal et ville 



Societe d'appartenance (facultatif) 



S'il y a plus de trois inventeurs, utilisez plusieurs formulaires. Indiquez en haut a droite le N° de la page suivi du nombre de pages. 



DATE ET SIGNATURES) 
DU (DES) DEWIANDEUR(S) 
OU DU WiANDATAIRE 
(Nom etqualite du signataire) 



Le 2 mars 2004 
CABINET PIASSERAU 



Bertrand L0ISEL 
940311 




La loi n°78-17 du 6 Janvier 1978 relative a Tinformatique, auxfichiers et aux liberies s'applique aux reponses faites a ce formuiaire. 
Elle garantit un droit d'acces et de rectification pour les donnees vous concernant aupres de I'lNPI. 



